Security Command Center クリプトマイニング保護プログラム

この保護プログラムは、Security Command Center Premium の Virtual Machine Threat Detection（VMTD）サービスの一部として、Google によるクリプトマイニング検出技術への投資に基づいています。そのため、VMTD がサポートするCompute Engine VM の種類とコンピューティング環境のみをこのプログラムでは対象としています。

プログラムの適用範囲:

• Linux ベースの Compute Engine インスタンスで発生する未検出の不正なクリプトマイニング。

他のすべての Google Cloud サービスはプログラムの対象外です。これには以下が含まれますが、これに限定されません。

• Windows VM
• Confidential Compute VM
• Google Kubernetes インスタンス
• App Engineのインスタンス
• Cloud Run
• Cloud Functions

Security Command Center Premium のお客様には、このプログラムの対象外の Google Cloud サービスの使用状況をモニタリングして、検出されないクリプトマイニング攻撃のリスクを軽減することをおすすめします。

お客様によって開始されたクリプトマイニング行為は、このプログラムの対象外です。Google Cloud でクリプトマイニング ソフトウェアを実行することは、Google Cloud Platform の利用規約に違反します。

以下は、プログラムの対象となるために確認および従う必要があるベスト プラクティスのリストです。詳細については、Security Command Center のクリプトマイニング検出のベスト プラクティスをご覧ください。

• お客様の Google Cloud 組織全体で Security Command Center Premium を有効化する
• お客様の Google Cloud 組織内のすべてのプロジェクトに対して Virtual Machine Threat Detection（VMTD）と Event Threat Detection（ETD）を有効にする
• Cloud DNS ロギングを有効にする
• Security Command Center の検出結果をお客様の既存のセキュリティ運用ツール（Chronicle SIEM や Chronicle SOAR など）と統合して、クリプトマイニング攻撃の可能性や存在を示すセキュリティ検出結果に対応し、トリアージする
• Security Command Center のユーザーとサービス アカウントに必要な IAM ロールと権限の割り当てを維持します。
• セキュリティに関する重要な連絡先を更新、維持する

これらのベスト プラクティスが自社の環境に実装されているかどうかをお客様が確認できるように、Google Cloud のセキュリティ専門家がこの検証スクリプトを公開しています。このスクリプトの出力はお客様にのみ表示されます。

お客様には、Compute Engine VM 環境でのクリプトマイニング攻撃が Security Command Center から通知され、ステージ 0 またはステージ 1 の検出の検出結果が 1 つ以上生成されます。

ステージ 0 の検出結果は、クリプトマイニング攻撃の主要な指標であり、差し迫った攻撃や進行中の攻撃をコントロール プレーンが可視化します。ステージ 1 の検出結果は、クリプトマイニング攻撃の兆候です。

ステージ 0 の検出結果

• アカウントの認証情報の漏洩
• 防御回避: 匿名化プロキシからのアクセス
• 初期アクセス: 使われていないサービス アカウントに対するアクション

ステージ 1 検出の検出結果

• マルウェア: 不正ドメインのクリプトマイニング（Event Threat Detection）
• マルウェア: 不正 IP のクリプトマイニング（Event Threat Detection）
• 実行: 暗号通貨 YARA ルール（VM Threat Detection）
• 実行: 暗号通貨マイニングのハッシュ一致（VM Threat Detection）
• 実行: 複合検出 - YARA ルールとハッシュ一致（VM Threat Detection）

または、お客様の環境でクリプトマイニング行為が検出された可能性があることを Google がお客様に通知することもできます。

ステージ 0 またはステージ 1 の Security Command Center の検出の検出結果を生成するか、お客様に通知を送信することで、このプログラムの条件に基づく Google の通知に関する責任を果たします。

攻撃が始まってから Security Command Center が検出の検出結果を生成するまで、または、Google がお客様に通知を送信してからの間に遅れが発生した場合、お客様は攻撃の開始から通知までの Compute Engine の超過費用に対するクレジットをリクエストできます。詳細については、Security Command Center のクリプトマイニング検出のベスト プラクティスをご覧ください。

本プログラムで Google Cloud クレジットの対象となるには、お客様はリクエストに際して次の条件を満たしている必要があります。

• イベントログや異常な Compute Engine 費用など、クリプトマイニング攻撃の発生を合理的に示す証拠を提出すること
• お客様が Security Command Center のクリプトマイニング検出のベスト プラクティスに記載されているとおり、このプログラムの Security Command Center のクリプトマイニング検出のベスト プラクティスに従っていて、クリプトマイニング攻撃に関して Google から検出結果またはその他の通知を受け取っていないことを合理的に示す証拠を記載して提示すること

Security Command Center Premium のお客様が Compute Engine VM 環境で未検出のクリプトマイニング攻撃を経験したことを Google が確認した後に、お客様は、Google の脅威検出能力の改善のために、Google Cloud のセキュリティ エンジニアと協力してフォレンジック アーティファクトを特定、共有する必要があります。

リクエストするフォレンジック情報には、攻撃者がアップロードした画像、実行されたクリプトマイニング バイナリ、攻撃中の攻撃者の振る舞いを説明する Cloud Audit Logs が含まれます。お客様は、要求に応じてこの情報を Google に提供します。また、お客様は要求された情報を確認し、Google と共有する前にセンシティブ データや専有データを削除する機会が与えられます。

i. 通則: 本プログラムの利用規約は、Google Cloud Platform の利用規約を補足するものです。Google は、理由の如何を問わず、または 30 日前までに本ウェブページを更新することにより、本プログラムを変更または終了できる権限を有します。

このプログラムの Google Cloud クレジットの対象となるには、攻撃の開始から 30 日以内に Google Cloud クレジットをリクエストする必要があります。

ii. Google Cloud クレジット: Google はお客様と協力して、クリプトマイニング攻撃によって発生した Compute Engine の費用を決定します。Google は、クレジットの支払いおよび適切な金額について合理的に判断します。本プログラムに基づいて発行されるクレジットの最大金額は、12 か月の期間あたり 100 万米ドルを超えないものとします。本プログラムに関連するその他の救済措置、または明示的、黙示的、または法定保証（商品性および特定目的への適合性の保証を含みますが、これに限定されません）はいずれも提供されません。Google Cloud クレジットは、クリプトマイニング攻撃が始まってから、Google がクリプトマイニング攻撃の通知をお客様に提供するまでの間、お客様にのみ提供されます。Google がお客様に通知した後のクリプトマイニング攻撃に関連する費用は、このプログラムの Google Cloud クレジットの対象になりません。お客様に提供されるクレジットは換金できません。すべてのクレジットは、発行後 12 か月、またはお客様の Google Cloud 契約の解除または満了時に期限切れになります。